终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级 的端点安全软件(Agent)和管理平台(MGR)共同组成。 EDR 的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离 的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁 定位。 端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键 处置等。深信服的 EDR 产品也支持与 AC、SIP、AF、SOC、X-central 产品的联动协同响应, 形成新一代的安全防护体系。
终端资产的全面清点:
全网终端资产的全面清点,包含业务服务器和用户 PC 的终端资 产清点。清点每台终端硬件信息、软件信息和资产管理信息等。帮助 IT 管理员实现对主机 资产的“两清一减”:即看清全网主机资产全貌,理清全网主机风险暴露面,从而削减全网 主机攻击面。
终端安全的合规审查:
每一个组织都有自己的终端安全合规要求,特别是等级保护的 合规要求,对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计, 对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足 企业建设等级保护系统的主机安全要求。
勒索病毒的实时防御:
勒索病毒通过加密文件的方式,要求中招者支持一定数额的赎 金。这种攻击方式越来越流行,每天都有客户反馈中招。深信服 EDR 能够非常精准的识别不 同的勒索软件家族,并通过专业分析识别出种种勒索病毒感染行为和加密特征,对最新的勒 索软件进行有效的查杀,防止用户感染最新的勒索软件。
系统漏洞检测与修复:
系统存在不同风险等级的漏洞,如果没有及时识别和修复,攻 击者很可能利用系统漏洞进入客户内网,对业务造成的影响和损失经常无法估计。EDR 能够 帮助管理员识别内网终端系统漏洞风险,并进行修复,加强系统安全性。
入侵攻击的主动检测:
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中 10 大部分攻击是通过暴力破解的弱口令攻击产生的。深信服的 EDR 主动检测暴力破解行为,并 对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为,则主动检测 Web 后门的文件。
热点事件快速响应:
深信服安全云脑通过全球的大数据安全分析,提供热点事件的 IOC 情报,推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析, 及时发现和响应最新的热点事件,并且根据历史行为数据进行溯源分析,避免组织受到安全 事件的通报。